[2003] Admin account policy vrij maken ?

Pagina: 1
Acties:
  • 265 views sinds 30-01-2008
  • Reageer

  • wd200
  • Registratie: Juni 2005
  • Laatst online: 11:28
ik heb thuis een klein servertje staat ik heb een aantal policy's op domein niveau ingesteld voor te testen voornamelijk.

bv policy config scherm uit.
maar deze policy geldt ook me administrator account, dus kan ik niet bij de config scherm komen.
(wel als ik deze weer uit zet natuurlijk)

simpele vraag hoe geef ik de admin account full control zonder alle policy's omgekeerd tegen elkaar op te zetten.

ik heb nu dus
user- config uit

admin - config aan.

maar in mijn ogen moet er iets van een policy zijn in de trent van policy's gelden niet voor user lid van de administrator groep.

  • Vorkie
  • Registratie: September 2001
  • Niet online
Je kan containers maken waarbij je de domainpolicy kan toepassen per container.

In die container kan je dan alle gebruikers neerzetten, zodat je de default domain policy ongewijzigd kan laten, zoals je dat normaliter ook doet.

Ook kan in die nieuwe container de verschillende pc's worden ondergebracht, zodat je eigenlijk ook per subgroep systemen kan instellen wat wel mag en wat niet.
bijv: jouw pc mag alles, die laat je gewoon staan, zodat de policys niet worden doorgevoerd.
pc van de andere mag bepaalde dingen niet wijzigen, die zet je in de nieuwe container, zodat deze wijzigingen wel worden doorgevoerd en het systeem naar jouw beveiligings en instellingen worden aangepast.

Zorg dan wel dat niet de bovenliggende policy geldt voor die container.

djluc zegt het kort wat ik ook een klein beetje bedoel ;)

[ Voor 5% gewijzigd door Vorkie op 08-03-2006 23:36 ]


  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 14:08
Blijf van je default domain policy af! Alleen policies zelf aanmaken op OU's. Dat is veel handiger!

  • wd200
  • Registratie: Juni 2005
  • Laatst online: 11:28
djluc schreef op woensdag 08 maart 2006 @ 23:33:
Blijf van je default domain policy af! Alleen policies zelf aanmaken op OU's. Dat is veel handiger!
ja maar elke OU moet dezelfde policy hebben is deze kopieer baar ?

  • Vorkie
  • Registratie: September 2001
  • Niet online
wd200 schreef op woensdag 08 maart 2006 @ 23:36:
[...]


ja maar elke OU moet dezelfde policy hebben is deze kopieer baar ?
hoe wil je alles nou hetzelfde houden als je de administrator account niet dezelfde instellingen wil laten hebben. Dus alles.

Dan kan je beter een nieuwe container maken en zorgen dat alleen administrator in de oude achter blijft, de rest zet je dan wel over in die andere container met dezelfde policy's, dan kan je wel aanmelden met administrator en voert hij alleen de policý;s uit waar de administrator instaat.


ik zet hem ffies in me todo dit topic, zal morgen eens kijken of ik het wat uitgebreider voor je kan neerzetten :)

Als boven en beneden dezelfde policy's hebben, kan je deze gewoon in 1 OU zetten, en de administrator + jezelf in de default, zodat je nergens geen aangepaste policy's hebt.

[ Voor 22% gewijzigd door Vorkie op 08-03-2006 23:45 ]


  • wd200
  • Registratie: Juni 2005
  • Laatst online: 11:28
Vorkie schreef op woensdag 08 maart 2006 @ 23:38:
[...]


hoe wil je alles nou hetzelfde houden als je de administrator account niet dezelfde instellingen wil laten hebben. Dus alles.

Dan kan je beter een nieuwe container maken en zorgen dat alleen administrator in de oude achter blijft, de rest zet je dan wel over in die andere container met dezelfde policy's, dan kan je wel aanmelden met administrator en voert hij alleen de policý;s uit waar de administrator instaat.
ja maar dan moet ik al me users toch in een OU / container zetten.
en dat wil ik juist niet.
het is ongeveer zo
ou 1 boven
ou 2 beneden
ou 3 admin.

ou 1 en 2 voor overzichtelijkheid gescheiden, deze moeten wel dezelfde policy's hebben

ik ou 3 zit nu de admin account en die van mezelf.
maar nog gekut met bovenstaande policy's

maar in theorie als ik de policy's loslaat op de OU 1 +2 heeft ou 3 hier niks mee te maken.
maar dan moet ik 2x (bij ou 1 en 2) dezelfde policy's instellen

//edit

OU 1 +2 in een container plaatsen en op die container de policy's zetten is dat de oplossing ?

[ Voor 7% gewijzigd door wd200 op 08-03-2006 23:42 ]


  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

wd200 schreef op woensdag 08 maart 2006 @ 23:41:
OU 1 +2 in een container plaatsen en op die container de policy's zetten is dat de oplossing ?
Je kunt gewoon 1 policy maken en die aan meerdere OU's linken. Dus wel aan OU 1+2 maar niet aan 3. Dat is de beste oplossing.
Bovendien kun je een policy ook gewoon kopieren en daarna de kopie weer aanpassen zodat je beide versies aan verschillende OU's kunt koppelen. En zoals al gezegd kun je veel beter van je default domain policy afblijven. Het is namelijk niet ondenkbaar dat je daarmee je default policy verknalt en dat zou niet handig zijn.

  • wd200
  • Registratie: Juni 2005
  • Laatst online: 11:28
ik zit NIET aan de default domein policy.

miss heb ik het raar geformuleerd.
maar ik heb dus op domein niveau een NIEUWE policy aangemaakt.

nu geen zin meer maar zal morgen eens kijken :)
jullie tips helpen me wel op weg

  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Denk dat je met gpmc, te downloaden op de Microsoft website, een stuk beter inzicht krijgt van wat policies allemaal voor je kunnen betekenen :) Je kan ze ook nog op computers, users, groepen filteren binnen OU's. Verder is een GPO-object altijd globaal, en is het van toepassing zijn op een bepaald punt in de AD hierarchie slechts een link, een soort snelkoppeling, naar het originele object. De policies worden opgeslagen in AD-map:\SYSVOL\sysvol\domain.local\Policies\ :)
Ideale situatie is zoals hierboven al aangeven de users en computers zoveel mogelijk in OU's zetten in logische groeperingen en daarover de policies uitrollen. Je merkt tenslotte nu al dat het niet goed werkt met links op domeinniveau :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik zou me trouwens naast bovenstaande GPMC verhaal ook verdiepen in je OU structuur, immers had je dit gedonder niet gehad met een nested OU structuur.

[ Voor 4% gewijzigd door alt-92 op 09-03-2006 00:35 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Bij mijn weten krijgen administrators default niet eens een policy omdat bij deze groep het vinkje "apply policy" uit staat. Je kan dus ook een policy maken en dan voor admins het vinkje "deny policy" aan zetten

  • wd200
  • Registratie: Juni 2005
  • Laatst online: 11:28
Verwijderd schreef op donderdag 09 maart 2006 @ 00:35:
Bij mijn weten krijgen administrators default niet eens een policy omdat bij deze groep het vinkje "apply policy" uit staat. Je kan dus ook een policy maken en dan voor admins het vinkje "deny policy" aan zetten
om dit moment zoek ik dit vinkje dus... waar staat die :+.

en voor rest denk ik dat ik me structuur maar beter moet gaan inrichten, in ieder geval bedankt.

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 12:51
gewoon administrator deny rechten geven op policy
die vind je bij de eigenschappen / security van de desbetreffende policy.

PVOUPUT - 13.400WP - Twente


  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Grolsch schreef op donderdag 09 maart 2006 @ 10:06:
gewoon administrator deny rechten geven op policy
die vind je bij de eigenschappen / security van de desbetreffende policy.
Ik heb het zelf nooit uitgetest, dus ik kan ernaast zitten, maar is het niet zo dat de admin dan ook de policy niet meer kan aanpassen :?

  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 14:08
Nee, sowieso kan een administrator altijd weer de ownership nemen.

  • wd200
  • Registratie: Juni 2005
  • Laatst online: 11:28
ik heb alle OU's in een aparte container gezet en op die container de policy's gezet.

iedereen bedankt voor de tip's die mijn hier na toe hebben gedreven.

imo mag deze nu dicht.

Verwijderd

wd200 schreef op woensdag 08 maart 2006 @ 23:36:
[...]


ja maar elke OU moet dezelfde policy hebben is deze kopieer baar ?
je maakt geen policy in/aan een OU. je maakt een policy in AD en linked deze aan een OU. en ja die kan je dus ook aan meerdere OU's linken

  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 12:51
/downtime/ schreef op donderdag 09 maart 2006 @ 10:11:
[...]

Ik heb het zelf nooit uitgetest, dus ik kan ernaast zitten, maar is het niet zo dat de admin dan ook de policy niet meer kan aanpassen :?
ik zal iets specifieker zijn, administrator account deny rechten geven op "apply policy" kopje ;)

PVOUPUT - 13.400WP - Twente


  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Grolsch schreef op donderdag 09 maart 2006 @ 18:45:
[...]


ik zal iets specifieker zijn, administrator account deny rechten geven op "apply policy" kopje ;)
http://support.microsoft.com/kb/816100 bedoel je dus denk ik.

Wat /downtime/ zal bedoelen is: http://support.microsoft.com/kb/325351 :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Pagina: 1